王宇杰，楊志軍

（北京交通大學(xué)信息中心，北京100044）

IPv6環(huán)境下鄰居發(fā)現(xiàn)（Neighbor Discovery，簡(jiǎn)稱ND）協(xié)議通過(guò)使用5種類型的ICMPv6消息，實(shí)現(xiàn)如下主要功能：地址解析、驗(yàn)證鄰居是否可達(dá)、重復(fù)地址檢測(cè)、路由器發(fā)現(xiàn)、前綴發(fā)現(xiàn)、地址自動(dòng)配置和重定向功能，它工作于本地鏈路范圍內(nèi)。ND協(xié)議取代了IPv4中使用的ARP、ICMP路由器發(fā)現(xiàn)和ICMP重定向報(bào)文。IPv4下的ARP是直接封裝在數(shù)據(jù)幀中進(jìn)行傳輸?shù)?，其廣播、動(dòng)態(tài)學(xué)習(xí)的工作機(jī)制注定是一種低效和不安全的協(xié)議，容易受到地址欺騙和泛洪類型的攻擊。而IPv6下的ND協(xié)議是封裝在IPv6報(bào)文中進(jìn)行傳輸?shù)模⑶襂Pv6采用組播代替IPv4中的廣播。因此，ND協(xié)議工作時(shí)，節(jié)點(diǎn)間的交互報(bào)文對(duì)其它節(jié)點(diǎn)的影響很小。雖然IPv6下的ND協(xié)議對(duì)比ARP要高效得多，但是，其工作機(jī)制仍然存在著安全漏洞，比較典型的安全威脅有：RA欺騙，NA欺騙，重定向欺騙，RS泛洪，NS泛洪。這些安全威脅的存在與在IPv4下的ARP一樣會(huì)造成地址學(xué)習(xí)的失敗、路由的錯(cuò)誤和設(shè)備CPU的高負(fù)荷，影響網(wǎng)絡(luò)的互通性，從而影響用戶IPv6業(yè)務(wù)的穩(wěn)定運(yùn)行。

1 ND協(xié)議工作過(guò)程

1.1 IPv6地址

IPv6地址分為單播、組播和任播3類。如果僅關(guān)心與ND協(xié)議相關(guān)的IPv6地址，那么，每個(gè)IPv6節(jié)點(diǎn)啟動(dòng)IPv6協(xié)議棧后，將在本地以太網(wǎng)卡接口上自動(dòng)配置固定前綴FE80::/64，接口ID部分使用EUI-64地址的鏈路本地單播地址；啟用私密性擴(kuò)展的IPv6主機(jī)還能生成固定前綴FE80::/64，接口ID部分使用臨時(shí)接口標(biāo)識(shí)符的鏈路本地單播地址。如果主機(jī)接收到路由器的前綴公告信息，還能自動(dòng)配置可聚合全球單播地址。而組播地址包括由特定前綴FF::/8標(biāo)識(shí)的組播地址、被請(qǐng)求節(jié)點(diǎn)組播地址和眾所周知的組播地址，其中被請(qǐng)求節(jié)點(diǎn)組播地址由前綴FF02::1:FF00::/104和單播地址的最后24 bit組成，眾所周知的組播地址主要有本地鏈路范圍所有節(jié)點(diǎn)組播地址FF02::1和本地鏈路范圍所有路由器組播地址FF02::2。

1.2 鏈路層尋址機(jī)制

以太網(wǎng)網(wǎng)卡工作時(shí)需要維護(hù)一個(gè)已注冊(cè)MAC地址的表，如果網(wǎng)卡收到一個(gè)目標(biāo)MAC地址存在于注冊(cè)表中的數(shù)據(jù)幀，就將此幀傳遞給上層協(xié)議作進(jìn)一步處理。默認(rèn)情況下，以太網(wǎng)卡初始化后，將在這張表中注冊(cè)分配給網(wǎng)卡的單播MAC地址和廣播地址（0xFF-FF-FF-FF-FF-FF）。節(jié)點(diǎn)啟動(dòng)IPv6協(xié)議棧，通過(guò)重復(fù)地址檢測(cè)后，還將在網(wǎng)卡中注冊(cè)被請(qǐng)求節(jié)點(diǎn)組播地址映射的MAC地址，地址結(jié)構(gòu)為0x33-33-FF-xx-xx-xx，xx-xx-xx由單播地址的最后24 bit組成；本地鏈路范圍內(nèi)所有節(jié)點(diǎn)組播地址映射的MAC地址，地址結(jié)構(gòu)為0x33-33-00-00-00-01；對(duì)于路由器來(lái)說(shuō)，除了上面注冊(cè)的地址外，還有1個(gè)本地鏈路范圍所有路由器組播地址映射的MAC地址，地址結(jié)構(gòu)為0x33-33-00-00-00-02。

1.3 ND協(xié)議工作過(guò)程

ND協(xié)議報(bào)文封裝如圖1。

圖1 ND協(xié)議報(bào)文封裝

1.3.1 鄰居請(qǐng)求消息NS

NS作用：獲取鄰居的鏈路層地址；驗(yàn)證鄰居是否可達(dá)；進(jìn)行重復(fù)地址檢測(cè)。其中，IPv6報(bào)頭的源地址字段的值為發(fā)送方接口的單播IPv6地址，進(jìn)行重復(fù)地址檢測(cè)時(shí)為未指定IPv6地址（::），對(duì)應(yīng)的MAC幀頭的源地址字段的值為發(fā)送方網(wǎng)卡的MAC地址；IPv6報(bào)頭的目標(biāo)地址字段的值為被請(qǐng)求節(jié)點(diǎn)組播地址或單播地址，對(duì)應(yīng)的MAC幀頭的目標(biāo)地址字段的值為對(duì)應(yīng)的被請(qǐng)求節(jié)點(diǎn)組播地址映射的MAC地址或目標(biāo)單播MAC地址。

1.3.2 鄰居通告消息NA

NA作用：響應(yīng)NS消息；節(jié)點(diǎn)在鏈路層變化時(shí)主動(dòng)發(fā)送NA消息，向鄰居節(jié)點(diǎn)通告本節(jié)點(diǎn)的變化信息。其中，如果是對(duì)NS消息進(jìn)行響應(yīng)，IPv6報(bào)頭的源地址字段的值為發(fā)送方接口的單播IPv6地址，對(duì)應(yīng)的MAC幀頭的源地址字段的值為發(fā)送方網(wǎng)卡的MAC地址；IPv6報(bào)頭的目標(biāo)地址字段的值為最初發(fā)送鄰居請(qǐng)求消息的發(fā)送方單播地址，對(duì)應(yīng)的MAC幀頭的目標(biāo)地址字段的值為最初發(fā)送鄰居請(qǐng)求消息的發(fā)送方的單播MAC地址。

1.3.3 路由器請(qǐng)求消息RS

RS作用：向路由器發(fā)出請(qǐng)求，請(qǐng)求前綴和其他配置信息，用于節(jié)點(diǎn)的自動(dòng)配置。其中，IPv6報(bào)頭的源地址字段的值為發(fā)送方接口的鏈路本地地址或者未指定地址（::）, 對(duì)應(yīng)的MAC幀頭的源地址字段的值為發(fā)送方網(wǎng)卡的MAC地址；IPv6報(bào)頭的目標(biāo)地址字段的值為本地鏈路范圍所有路由器組播地址（FF02::2），對(duì)應(yīng)的MAC幀頭的目標(biāo)地址字段的值為0x33-33-00-00-00-02。

1.3.4 路由器通告消息RA

RA作用：響應(yīng)RS消息；在沒(méi)有抑制RA消息發(fā)布的條件下，路由器會(huì)周期性地發(fā)布RA消息，其中包括前綴信息選項(xiàng)和一些標(biāo)志位的信息。IPv6報(bào)頭的源地址字段的值為發(fā)送方接口的鏈路本地地址，對(duì)應(yīng)的MAC幀頭的源地址字段值為發(fā)送方網(wǎng)卡的MAC地址；IPv6報(bào)頭的目標(biāo)地址字段值為本地鏈路范圍所有節(jié)點(diǎn)組播地址（FF02::1），或者發(fā)送路由器請(qǐng)求消息的節(jié)點(diǎn)單播IPv6地址，對(duì)應(yīng)的MAC幀頭的目標(biāo)地址字段值為0x33-33-00-00-00-01，或者是發(fā)送路由器請(qǐng)求消息的節(jié)點(diǎn)單播MAC地址。

1.3.5 重定向消息

重定向消息作用：缺省網(wǎng)關(guān)通過(guò)向源主機(jī)發(fā)送重定向消息，使主機(jī)重新選擇正確的下一跳地址進(jìn)行后續(xù)報(bào)文的發(fā)送。其中，IPv6報(bào)頭的源地址字段值為重定向消息的發(fā)送接口的單播地址，對(duì)應(yīng)的MAC幀頭的源地址字段值為重定向消息的發(fā)送接口的網(wǎng)卡MAC地址；IPv6報(bào)頭的目標(biāo)地址字段值為始發(fā)節(jié)點(diǎn)的單播IPv6地址，對(duì)應(yīng)的MAC幀頭的目標(biāo)地址字段值為始發(fā)節(jié)點(diǎn)的單播MAC地址。

2 RA欺騙與防御

2.1 RA欺騙

主機(jī)通過(guò)發(fā)送虛假的RA報(bào)文，可以實(shí)現(xiàn)RA欺騙。欺騙手段為：欺騙主機(jī)通過(guò)在以太網(wǎng)卡上注冊(cè)MAC地址0x33-33-00-00-00-02，即可以偵聽(tīng)到正常工作主機(jī)發(fā)出的目標(biāo)地址為本地鏈路范圍所有路由器組播地址（FF02::2）的RS消息。然后，修改RA消息中ND報(bào)頭的默認(rèn)路由器優(yōu)先級(jí)字段，給發(fā)送RS的正常主機(jī)回應(yīng)虛假RA，正常主機(jī)收到欺騙RA報(bào)文后，在本機(jī)的默認(rèn)路由器列表中會(huì)添加1個(gè)錯(cuò)誤的或指向欺騙主機(jī)的默認(rèn)路由，造成正常主機(jī)數(shù)據(jù)報(bào)文的路由錯(cuò)誤。欺騙主機(jī)也可以自發(fā)發(fā)送RA欺騙報(bào)文，其目標(biāo)地址為本地鏈路范圍所有節(jié)點(diǎn)組播地址（FF02::1），在RA欺騙消息中，定義虛假的前綴信息選項(xiàng)，而前綴列表定義了主機(jī)可以直接到達(dá)的目標(biāo)的IP地址范圍，從而可以使本地鏈路范圍內(nèi)所有正常主機(jī)產(chǎn)生錯(cuò)誤的路由表項(xiàng)。欺騙RA通過(guò)修改前綴信息選項(xiàng)的自治標(biāo)志位，還可以使正常主機(jī)收到虛假前綴后在以太網(wǎng)卡接口生成無(wú)狀態(tài)自動(dòng)配置的帶虛假前綴的IPv6地址。

2.2 防御對(duì)策

防御RA欺騙基本對(duì)策：僅允許路由器發(fā)送RA消息，其它任何主機(jī)發(fā)出的RA消息均過(guò)濾丟棄?？梢栽诮尤虢粨Q機(jī)上實(shí)施本策略，方法是除上行到路由器的端口外，接入交換機(jī)在其它所有接入端口上檢測(cè)收到的ICMPv6消息是否是類型為134的RA消息，如果是，則丟棄。

3 NA欺騙與防御

3.1 NA欺騙

欺騙主機(jī)通過(guò)在以太網(wǎng)卡上注冊(cè)被請(qǐng)求節(jié)點(diǎn)組播地址映射的MAC地址，即可以偵聽(tīng)到正常主機(jī)發(fā)出的目標(biāo)地址為被請(qǐng)求節(jié)點(diǎn)組播地址的NS重復(fù)地址檢測(cè)消息，通過(guò)向正常請(qǐng)求主機(jī)回送NA欺騙消息，使正常主機(jī)不能通過(guò)重復(fù)地址檢測(cè)過(guò)程，因此，正常主機(jī)就不能實(shí)現(xiàn)IPv6地址的初始化。欺騙主機(jī)通過(guò)在以太網(wǎng)卡上注冊(cè)路由器的被請(qǐng)求節(jié)點(diǎn)組播地址映射的MAC地址，即可以偵聽(tīng)到正常主機(jī)發(fā)出的目標(biāo)地址為路由器被請(qǐng)求節(jié)點(diǎn)組播地址的NS鏈路層地址解析消息，發(fā)出欺騙NA消息響應(yīng)請(qǐng)求，欺騙NA消息中的ND報(bào)頭中包含1個(gè)目標(biāo)地址字段的值為路由器的接口IPv6地址，ND選項(xiàng)中包含欺騙主機(jī)的源鏈路層地址。同時(shí)，欺騙主機(jī)通過(guò)在以太網(wǎng)卡上注冊(cè)正常主機(jī)的被請(qǐng)求節(jié)點(diǎn)組播地址映射的MAC地址，偵聽(tīng)路由器發(fā)出的目標(biāo)地址為正常主機(jī)的被請(qǐng)求節(jié)點(diǎn)組播地址的NS鏈路層地址解析消息，并向路由器發(fā)出欺騙NA消息響應(yīng)請(qǐng)求，欺騙NA消息中的ND報(bào)頭中包含1個(gè)目標(biāo)地址字段的值為正常主機(jī)的接口IPv6地址，ND選項(xiàng)中包含欺騙主機(jī)的源鏈路層地址。使得正常主機(jī)和路由器之間的交互報(bào)文都要經(jīng)過(guò)欺騙主機(jī)轉(zhuǎn)發(fā)，達(dá)到中間人攻擊（Man-in-the-Middle Attack）的目的。

3.2 防御對(duì)策

在接入交換機(jī)上啟用IPv6源地址防偽造功能，同時(shí)啟用ND消息的檢測(cè)功能。針對(duì)重復(fù)地址檢測(cè)的NA欺騙和中間人攻擊的NA欺騙，比較NA消息中IPv6報(bào)頭的源地址字段的值與ND報(bào)頭中包含的目標(biāo)地址字段的值是否一致，不一致表示是NA欺騙消息，丟棄此消息。

4 重定向欺騙與防御

4.1 重定向欺騙

欺騙主機(jī)向正常主機(jī)發(fā)送虛假的重定向消息，重定向消息的ND報(bào)頭中包含1個(gè)下一跳地址字段和1個(gè)目標(biāo)地址字段，下一跳地址字段的值設(shè)置為偽造地址，使收到重定向消息的正常主機(jī)會(huì)用目標(biāo)地址字段的值及下一跳地址字段的值來(lái)更新本機(jī)目標(biāo)高速緩存中的表項(xiàng)，從而使正常主機(jī)的報(bào)文轉(zhuǎn)發(fā)發(fā)生錯(cuò)誤。

4.2 防御對(duì)策

正常情況下，只有本地鏈路上的路由器可以發(fā)送重定向消息，主機(jī)是不能發(fā)送重定向消息的。可以在接入交換機(jī)上實(shí)施策略，方法是除上行到路由器的端口外，接入交換機(jī)在其它所有接入端口上檢測(cè)收到的ICMPv6消息是否是類型為137的重定向消息，如果是，則丟棄。

5 RS、NS泛洪與防御

5.1 RS、NS泛洪

RS、NS泛洪屬于DOS攻擊，攻擊主機(jī)通過(guò)向路由器短時(shí)間內(nèi)發(fā)送大量的RS消息，消耗路由器CPU的資源，從而影響路由器對(duì)正常數(shù)據(jù)報(bào)文的處理；攻擊主機(jī)通過(guò)向正常主機(jī)短時(shí)間內(nèi)發(fā)送大量的NS消息，消耗主機(jī)CPU的資源，從而影響正常主機(jī)對(duì)數(shù)據(jù)報(bào)文的處理。

5.2 防御對(duì)策

可以在接入交換機(jī)上實(shí)施策略，其方法是除上行到路由器的端口外，接入交換機(jī)在其它所有接入端口上設(shè)置主機(jī)發(fā)送RS、NS消息的速率，接入端口檢測(cè)收到的RS、NS消息是否超過(guò)了限定的每秒消息數(shù)，超出部分做丟棄處理。

6 結(jié)束語(yǔ)

IPv6環(huán)境下工作于本地鏈路范圍的ND協(xié)議，由于其信息交互過(guò)程未進(jìn)行安全方面的考慮，使得惡意主機(jī)通過(guò)欺騙和泛洪手段可以很容易地進(jìn)行攻擊，造成本地鏈路范圍內(nèi)的主機(jī)和路由器正常的報(bào)文轉(zhuǎn)發(fā)受到影響，干擾了用戶使用IPv6網(wǎng)絡(luò)的體驗(yàn)。通過(guò)在接入層實(shí)施防御策略，可以在網(wǎng)絡(luò)末梢保護(hù)主機(jī)和路由器，使其免受欺騙和泛洪的攻擊，起到保護(hù)本地鏈路范圍內(nèi)信息報(bào)文正常交互的作用。

[1] Qing Li（美），Tatuya Jinmei Keiichi Shima（日）. IPv6 Advanced Protocols Implementation[M] . 北京：人民郵電出版社，2009.

[2] Joseph Davies.理解IPv6[M] . 北京：清華大學(xué)出版社，2004.

[3] 李振強(qiáng)，趙曉宇，馬嚴(yán). IPv6技術(shù)揭秘[M] . 北京：人民郵電出版社，2006.